Разбор полета WM-трояна

[vidocq89]

Эту тему я решился создать прочитав вот это ...

По-моему описание Зайцева недостаточно и мало о чем рассказывает...

Я взял 2 трояна (обычные их версии) и потестил немного - вот, что получилось...

НО сразу оговорюсь и отвечу тем, кто может заорать, что мол "каспер это все и так палит" - так вот не палил он один из этих троянов - авторы по мере того как каспер начинает палить трой - переписывает или чистит его, + и самому это можно делать - никто не запрещает...

 

 

В этой статье пойдет речь о небольшом "ковырянии" двух WM-троянов (Webmoney-троян) сидящих в системе и заменяющих в буфере обмена копируемые номера кошельков на нужные нам)....

Оба эти трояна вы, естественно можете найти на нашем форуме и скачать...

 

Начнем ковырять WM-троян от Дамрая.

(ниже мы видим скрин билдера)

 

 

Делаем билд cb.exe и запускаем его...

 

Смотрим, что он делает в системе с помощью тулз для просмотра что в системе делается с реестром и файлами, и находим в логах все, что относиться к нашему файлу:

(после символов "//" идут мои комментарии к действиям трояна)

 

cb.exe:912	CreateKey HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad	SUCCESS	Access: 0x2000000 	
cb.exe:912	QueryValue HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\VStorage		
//создаем запись в реестре с таким значением - так мы попали в автозагрузку (будем грузиться вместе с explorer.exe)

 

На этом общение трояна с реестром не заканчивается - он еще повторно обращается к вышеуказанным ключам, пишет туда и считывает оттуда, также делает вот такое:

 

cb.exe:912	CreateKey	HKCR\CLSID\{3E59933D-89FE-4C4D-9335-D1E75042D5D3}\InProcServer32	NOT FOUND		
cb.exe:912	CreateKey	HKCR\CLSID	SUCCESS	Access: 0x2000000 	
cb.exe:912	CreateKey	HKCR\CLSID\{3E59933D-89FE-4C4D-9335-D1E75042D5D3}	SUCCESS	Access: 0x2000000

 

Но это нам это в принципе не интересно и не столь нужно (сможем обойтись и без этого).

Теперь узнаем, что же он делает с файлами, т.е нужно узнать какие файлы и где он создает.

Смотрим на результаты:

 

cb.exe:912	CREATE	C:\WINDOWS\system32\swmclip.dll	SUCCESS	Options: OverwriteIf  Access: 0012019F	
//создаем файл
cb.exe:912	OPEN	C:\WINDOWS\system32\	SUCCESS	Options: Open Directory  Access: 00100000
//открываем	
cb.exe:912	WRITE 	C:\WINDOWS\system32\swmclip.dll	SUCCESS	Offset: 0 Length: 4096
//пишем
cb.exe:912	CLOSE	C:\WINDOWS\system32\swmclip.dll	SUCCESS	
//закрываем, сохраняем...

 

 

Вот это уже куда более познавательно и интересно)) Тут мы все видим и нам все понятно.

 

Теперь посмотрим как на этот троян уже установленный в системе реагируют такие распространенные

антивирусные утилиты (утилиты помогающие человеку в борьбе с зловредами), как AVZ и HiJackThis.

Просканируем ими нашу систему и посмотрим, что они нам выдадут по этому поводу. Но прежде чем показать, что они нашли сразу хочеться отметить, что AVZ справилась с этой задачей хуже чем я предполагал - она выдала вот такой результат (ненужное в отчете я просто "обрезал"):

3. Сканирование дисков

C:\WINDOWS\system32\swmclip.dll >>> подозрение на Trojan-Spy.Win32.Webmoner.ce ( 04D1F94E 01F881CB 00000000 00000000 4096)

Просканировано файлов: 4983, извлечено из архивов: 593, найдено вредоносных программ 0, подозрений - 1

Теперь поясню почему я был немного удивлен таким результатом: т.к троян старый, неизмененный паблик, то я думал, что AVZ задетектит его более уверенно своим файловым сканером.

 

 

Прежде чем показать вам результат от HiJackThis хочеться оговориться - весь результат HiJackThis выдает в виде текстового файла в котором просто перечислены запущенные процессы, работающие dll, адреса программ сидящих в автозагрузке и т.д и уже ВАМ из этого списка нужно самому найти то, что вы не устанавливали и не представляете, что это такое (хотя есть и онлайн анализатор логов этой программы). Теперь наконец взглянем на результат от HiJackThis (то, что не по теме "обрезано"):

 

O21 - SSODL: VStorage - {3E59933D-89FE-4C4D-9335-D1E75042D5D3} - swmclip.dll (file missing)
//нашел то, что не от системы в загрузке с эксплорером

вот то, что "не мое" - вот наш троянчик)

 

Теперь посмотрим на саму эту dll'ку: найдем наш файлик system32\swmclip.dll и откромем его или блокнотом/редактором

и поищем что-нибудь интересное. Самое интересное, что нам бросаеться в глаза, это номера наших кошельков в

незашифрованном виде, вот они:

Z443543000000 R645756000000 E645645600000 U267846300000

(при создании трояна мною были заменены последние 5 цифр нулями просто)

 

Увидев всякие OpenClipboard, SetClipboardData можно сразу предположить,

что троян общаеться с буфером обмена (хотя мы это и так знаем)).

 

Теперь можно думаю поговорить и о том как от этого трояна избавиться:

В принципе можно просто удалить этот файлик и на этом и успокоиться - ничего ниоткуда троян подгружать на его место не будет, но для спокойствия можно и почистить реестр - удалить то, что он туда внес.

 

Рассмотрим WM-троян от DIEL'a

(видим на скрине его билдер)

 

Создаем билд и запускаем его: запускаем Ntmon.exe.

И первое, что нам бросается в глаза, это то, что мы в Диспетчере задач видим запущенный процесс ntmon.exe от имени пользователя - вот, как говориться, мы и спалились...

Но, что еще хуже - так это то, что это висит NTmon.exe, который мы сами же и запустили, а не какой-то файл из глубины системной папки...

Но это еще только пол-дела, теперь по примеру первого трояна также изучим и этот, т.к мы это уже делали, то сейчас я это сделаю побыстрее и без лишних комментариев.

 

Начнем с того, что узнаем, какую гадость он пишет в реестр:

 

regedit.exe:908	CreateKey	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run	SUCCESS	Access: 0x2000000 	
regedit.exe:908	SetValue	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\syscache	SUCCESS	"C:\Documents and Settings\Юзер\UserData\Ntmon.exe"	
regedit.exe:908	CloseKey	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run	SUCCESS		
//видно, что добавляется в автозагрузку не так как предыдущий... 
//причем добавляется в автозапуск он путем запуска рег-файла - создает его в корне диска "С" и запускает

 

С файлами дела обстоят так:

 

149	17:00:24	Ntmon.exe:1008	OPEN	C:\Documents and Settings\Юзер\Рабочий стол\Ntmon.exe	SUCCESS	Options: Open  Access: Read	
150	17:00:24	Ntmon.exe:1008	CREATE	C:\Documents and Settings\Игорь\UserData\Ntmon.exe	PATH NOT FOUND	Options: OverwriteIf  Access: 00120196	
151	17:00:24	Ntmon.exe:1008	OPEN	C:\Documents and Settings\Юзер\UserData\	NOT FOUND	Options: Open Directory  Access: 00100000	
152	17:00:24	Ntmon.exe:1008	CLOSE	C:\Documents and Settings\Юзер\Рабочий стол\Ntmon.exe	SUCCESS		
//не смогли создать такую папку...странно... файл не был записан

 

 

Иными словами этот троян работать у меня не захотел - сами видите, что в автозагрузку добавиться толком у него не получилось, а запускать каждый раз его руками или добавлять туда его самому я не буду...

Видимо троян понял, что я все равно на такое не поведусь и решил не устанавливаться ко мне в систему...

А жаль...

Если же он сможет все-таки установиться к вам, то я уверен, вы теперь знаете как от него избавиться...

 

Не стоит статью расценивать как нечто, претендующее на что-то - я просто хотел показать тем, кто это не знает, что в деле нападения/защиты далеко не последнюю роль играют "руки".

Об этом не следует забывать ни одной из сторон.

 

PS: статья писалась в ускоренном темпе на коленке и поэтому могут быть неточности и т.д

Изменено 21 января, 2008 пользователем vidocq89

[Ig0r]

Интересно... Спасибо. Буду знать как удалять вирус к программе, которую не имею. Но все равно интересно.

[Максим]

По-моему описание Зайцева недостаточно и мало о чем рассказывает...

Олег писал для пользователей. Читается легко, без заумных терминов в отличии от Вашего "творения".

Но прежде чем показать, что они нашли сразу хочеться отметить, что AVZ справилась с этой задачей хуже чем я предполагал - она выдала вот такой результат (ненужное в отчете я просто "обрезал")

AVZ справилась отлично! К слову, "ненужное" в отчете как раз помогает обнаружить то, что прошло мимо сигнатурного сканера.

Теперь поясню почему я был немного удивлен таким результатом: т.к троян старый, неизмененный паблик, то я думал, что AVZ задетектит его более уверенно своим файловым сканером.

Троян старый, модификаций много. Какой смысл забивать им базу? Антивирусная утилита - это не антивирус.

 

Подводя итог. Не советую читать Ваше описание начинающим пользователем, кроме очередного запугивания они ни чего не узнают.

[vidocq89]

Maxim_VInfo, поспорить я тоже люблю))

поэтому немного поспорю с вами...

 

Олег писал для пользователей. Читается легко, без заумных терминов в отличии от Вашего "творения".

я глубоко уважаю Зайцева Олега, даже не могу сказать, что уважаю за что-то конкретно - я читал вроде все его статьи, что находил и созданные им темы на форумах по безопасности и т.д... но разговор не об этом, видимо вы поняли, что я плохо отнесся к его описанию....нет, почему-же, она очень хорошо соответствует вышеприведенной цитате, НО она в таком случае не совсем в том разделе на вирусинфо - т.е она смотриться не совсем обычно в том контексте (в окружении тем, в которых присутствую эти самые "заумные" термины...

...эту мини-статью я написал как раз для тех, кому интересен данный вид троянов и их души требует каких-либо технических подробностей...

(в принципе в технику можно было и не вчитываться - я постарался наиболее простым языком написать комментарии..)

 

AVZ справилась отлично!

мне лично очень нравится данная утилита, на варе ее ярлык обязательно на рабочем столе...

 

К слову, "ненужное" в отчете как раз помогает обнаружить то, что прошло мимо сигнатурного сканера.

под ненужным я имел в виду тот стандарт который авз у меня все время выдает на девственно чистой машине с только-что поставленной системой....

(логи авз я все таки читать умею, но что бы подстраховаться - я запускал проверку авз перед установкой вируса и после и сравнил результаты, разность написал в топике)

 

Троян старый, модификаций много.

Тут вы совершенно правы, я брал практически первые вышедшие в широкий свет версии этих троянов. *

( * - звездочка в виду того, что это не совсем так, но это не имеет значения, но для достоверности информации об этом стоит упомянуть - от Диела была версия еще перед этой - но она была типа бета-версией с многими багами и т.д и через 4 дня он обновил ее до представленной вам...хотя и эта далека от совершенства - огромный код, много лишнего в трояне, многое можно было убрать еще до компиляции...написано на скорую руку без старания).

 

Не советую читать Ваше описание начинающим пользователем, кроме очередного запугивания они ни чего не узнают.

прискорбно

я старался написать так, что бы было в принципе интересно всем (попихал и чуть-чуть технических подробностей и язык разный использовал - от классического до полуформального и даже картинок понапихал (сделал скрины билдеров) ))

 

но к сожалению ваши последние слова - правда ...

достаточно сравнить эту тему с антивностью в этой теме... - в ней тоже инфа про веб-мани трояны)) но там без технических подробностей, примерно как у Олега Зайцева...

[Максим]

...эту мини-статью я написал как раз для тех, кому интересен данный вид троянов и их души требует каких-либо технических подробностей...

(в принципе в технику можно было и не вчитываться - я постарался наиболее простым языком написать комментарии..)

Зачем тогда столько комментариев? Комментарии усложняют понимание.

но к сожалению ваши последние слова - правда ...

достаточно сравнить эту тему с активностью в этой теме... - в ней тоже инфа про веб-мани трояны)) но там без технических подробностей, примерно как у Олега Зайцева...

Тоже самое. Слишком много "воды". Вы пытаетесь упростить методом усложнения, в результате получается каламбур. Точку зрения пользователей, прочитавших описание хорошо выразил pofigist, см. 2 пост.

[vidocq89]

Вы пытаетесь упростить методом усложнения, в результате получается каламбур

ок. буду учитывать.

 

спасибо за понимание...